2024Web網(wǎng)站滲透測試報告模板

DOCPROPERTYTitle頁目錄xxx門戶網(wǎng)站 1滲透測試報告 1一.摘要 11.1基本信息 11.2測試方法 11.3漏洞概要 11.3.1系統(tǒng)層安全測試漏洞概要 11.3.2應(yīng)用層安全測試漏洞概要 21.4系統(tǒng)當(dāng)前安全狀況 3二.滲透測試概述 32.1概述 32.2風(fēng)險管理 42.3收益 5三.系統(tǒng)層安全測試 63.1操作系統(tǒng)漏洞掃描 63.2系統(tǒng)結(jié)構(gòu)分析及測試信息收集 63.2.1端口收集 63.2.2域名信息 63.3遠(yuǎn)程溢出 73.4未授權(quán)訪問 73.5口令猜測 73.6跳板攻擊 7四.應(yīng)用層安全測試 84.1配置管理測試（含中風(fēng)險） 84.1.1基礎(chǔ)配置管理測試 84.1.2應(yīng)用管理界面測試 84.1.3HTTP方法測試 84.1.4SSL/TLS測試（低風(fēng)險） 84.1.5應(yīng)用配置管理測試(中風(fēng)險) 84.1.6過期、備份頁面測試 94.2數(shù)據(jù)驗證測試（含中風(fēng)險） 94.2.1跨站腳本測試 94.2.2HTTPSPLITTING測試 94.2.3SQL注入測試 94.2.4命令執(zhí)行測試 104.2.5代碼注入測試 104.2.6XML注入測試 104.2.7XPATH注入測試 104.2.8URL跳轉(zhuǎn)測試 104.2.9文件上傳測試（中風(fēng)險） 104.2.10程序報錯測試 114.2.11金額篡改測試 114.3認(rèn)證測試（含中風(fēng)險） 124.3.1認(rèn)證模式繞過測試 124.3.2用戶枚舉測試（中風(fēng)險） 124.3.3暴力破解測試（中風(fēng)險） 134.3.4競爭條件測試 144.3.5圖形驗證碼測試 144.3.6密碼修改點測試 144.3.7密碼重置點測試 144.3.8注銷登錄測試 154.4業(yè)務(wù)邏輯測試（含高風(fēng)險） 154.4.1遍歷用戶信息（高風(fēng)險） 154.5會話管理測試（含中風(fēng)險） 164.5.1會話管理模式測試（中風(fēng)險） 164.5.2會話固定測試 174.5.3會話變量泄露測試 174.5.4CSRF測試 174.6敏感信息保護(hù)測試（含中風(fēng)險） 174.6.1用戶敏感信息保護(hù)（中風(fēng)險） 174.6.2業(yè)務(wù)敏感信息保護(hù) 184.7第三方插件測試 184.7.1Struts2遠(yuǎn)程代碼執(zhí)行漏洞測試 184.8后門與暗鏈檢查測試 184.8.1后門檢查 184.8.2暗鏈檢查 18五.參考與建議 185.1安全等級評定參考 185.1.1漏洞風(fēng)險等級評定參考 185.1.2應(yīng)用安全等級評定參考 205.2安全意見 215.2.1傳輸安全 215.2.2Web安全編程 215.2.3安全復(fù)檢 215.2.4定期進(jìn)行安全審計 21摘要基本信息經(jīng)xx市xxx單位的授權(quán)，xxx滲透測試小組對xx市單位的官方網(wǎng)站（）進(jìn)行了滲透測試。評測時間20xx年xx月xx日-20xx年xx月xx日對象xxxxx市單位官方網(wǎng)站（）(IP:xx.10.xx.95)說明無測試方法在不知道目標(biāo)網(wǎng)絡(luò)環(huán)境的情況下，模擬黑客攻擊，使用各種主流測評工具及自主開發(fā)的內(nèi)部測試工具，參照相應(yīng)安全性能指標(biāo)標(biāo)準(zhǔn)進(jìn)行安全檢查。漏洞概要系統(tǒng)層安全測試漏洞概要檢查項漏洞數(shù)章節(jié)備注高風(fēng)險中風(fēng)險服務(wù)器系統(tǒng)漏洞掃描003.1高危端口023.2.1對外開放了危險端口，可導(dǎo)致被攻擊者暴力猜測出相關(guān)應(yīng)用的賬號與密碼問題列表應(yīng)用層安全測試漏洞概要檢查項存在漏洞的檢查項威脅等級漏洞數(shù)章節(jié)備注配置管理測試SSL/TLS測試低14.1.4應(yīng)用配置管理測試中14.1.5數(shù)據(jù)驗證測試文件上傳測試中24.2.9認(rèn)證測試用戶枚舉測試中14.3.2暴力破解測試中14.3.3業(yè)務(wù)邏輯測試遍歷用戶信息高14.4.1可獲得網(wǎng)站上所有用戶的個人信息，包括部門職位、手機號碼、傳真等信息會話管理測試會話管理模式測試中14.5.1敏感信息保護(hù)測試用戶敏感信息保護(hù)-中14.6.2第三方插件測試--0-后門與暗鏈檢查測試--0-問題列表漏洞數(shù)量：高危問題：1個中危問題：9個低危問題：1個安全風(fēng)險分布圖系統(tǒng)當(dāng)前安全狀況經(jīng)xxx安全評估小組進(jìn)行全面安全評估后，xxx安全評估小組認(rèn)為當(dāng)前系統(tǒng)安全狀況如下圖。級別為：遠(yuǎn)程高風(fēng)險系統(tǒng)遠(yuǎn)程高風(fēng)險系統(tǒng)滲透測試概述概述對于已經(jīng)部署了安全防護(hù)措施（安全產(chǎn)品、安全服務(wù)）或者即將部署安全防護(hù)措施的用戶而言，明確網(wǎng)絡(luò)當(dāng)前的安全現(xiàn)狀對下一步的安全建設(shè)有重大的指導(dǎo)意義。滲透測試服務(wù)用于驗證在當(dāng)前的安全防護(hù)措施下網(wǎng)絡(luò)、系統(tǒng)抵抗黑客攻擊的能力。透測試小組利用各種主流的攻擊技術(shù)對網(wǎng)絡(luò)、系統(tǒng)做模擬攻擊測試，以發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)中存在的安全漏洞和風(fēng)險點。企業(yè)、組織根據(jù)測試的結(jié)果遵循安全策略制定適合的、不同優(yōu)先級別的安全防護(hù)措施、流程。滲透測試流程定義為如下階段：信息收集此階段中，滲透測試小組進(jìn)行必要的信息收集，如操作系統(tǒng)類型、開放的端口和服務(wù)、web服務(wù)應(yīng)用系統(tǒng)版本、后臺數(shù)據(jù)庫類型、web開發(fā)語言等。滲透測試此階段中，滲透測試小組根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進(jìn)行滲透測試。此階段如果成功的話，可能獲得普通權(quán)限或系統(tǒng)權(quán)限。本地信息收集此階段中，滲透測試小組進(jìn)行本地信息收集，用于下一階段的權(quán)限提升。權(quán)限提升此階段中，滲透測試小組嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。在時間許可的情況下，必要時從第一階段重新進(jìn)行。清除此階段中，滲透測試小組清除日志記錄等數(shù)據(jù)。輸出報告此階段中，滲透測試小組根據(jù)測試的結(jié)果編寫直觀的滲透測試服務(wù)報告。風(fēng)險管理相對其他服務(wù)而言，滲透測試是一種需要相當(dāng)技術(shù)深度的高端服務(wù)，要求滲透測試人員有豐富的經(jīng)驗及新穎的思路。在滲透測試過程中，雖然我們盡量避免影響正常業(yè)務(wù)的運行，也會采取適當(dāng)?shù)娘L(fēng)險規(guī)避、風(fēng)險降低的方法，但是由于測試的不確定性，滲透測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運行造成一定不同程度的影響，可能造成服務(wù)停止，甚至是宕機。另外，對于安全防護(hù)措施嚴(yán)密的網(wǎng)絡(luò)、系統(tǒng)，在有限的時間內(nèi)進(jìn)行滲透測試可能不會獲得成功結(jié)果。這在一定程度也證明了網(wǎng)絡(luò)、系統(tǒng)能夠在一定程度上抵抗黑客的攻擊。收益從攻擊者的角度進(jìn)行測試將有助于發(fā)現(xiàn)并識別出一些隱性存在的安全漏洞和風(fēng)險點。從客戶收益的角度來說，特別是在進(jìn)行安全項目之前進(jìn)行滲透測試，可以對信息系統(tǒng)的安全性得到較深的感性認(rèn)知，有助于后續(xù)的安全建設(shè)。在進(jìn)行了安全項目之后進(jìn)行滲透測試，則可以用于驗證經(jīng)過安全保護(hù)后的網(wǎng)絡(luò)是否真實的達(dá)到了預(yù)定安全目標(biāo)、遵循了安全策略。

系統(tǒng)層安全測試操作系統(tǒng)漏洞掃描通過漏洞掃描發(fā)現(xiàn)服務(wù)器操作系統(tǒng)信息和操作系統(tǒng)的安全漏洞，同時檢驗防火墻和DDoS防護(hù)等安全設(shè)施的抗攻擊能力。測試過程：經(jīng)系統(tǒng)漏洞掃描器掃描，發(fā)現(xiàn)服務(wù)器補丁更新及時，暫未發(fā)現(xiàn)安全風(fēng)險。系統(tǒng)結(jié)構(gòu)分析及測試信息收集信息收集工作包括WEB服務(wù)器和應(yīng)用程序指紋探測、后臺應(yīng)用程序發(fā)掘、爬網(wǎng)和Googling、錯誤代碼挖掘、應(yīng)用程序配置管理測試等。端口收集端口/協(xié)議服務(wù)21/tcpftp23/tcptelnet經(jīng)過端口探測掃描發(fā)現(xiàn)，系統(tǒng)對外只開放了多個端口，其中存在21，23等高危端口，建議將這些不必要提供的端口關(guān)閉。域名信息域名：域名狀態(tài)：client注冊人：xxxx市管理員郵件：xxxxx@注冊商：有限公司DNS服務(wù)器：DNS服務(wù)器：n注冊時間：2009-12-1915:30:06過期時間：2019-12-1915:30:06遠(yuǎn)程溢出遠(yuǎn)程溢出測試基于漏洞掃描的結(jié)果，掃描發(fā)現(xiàn)的系統(tǒng)漏洞可能是誤報，不過一旦遠(yuǎn)程溢出被利用，攻擊者很有可能就會獲得系統(tǒng)的最高權(quán)限。測試結(jié)論：經(jīng)系統(tǒng)漏洞掃描，發(fā)現(xiàn)服務(wù)器補丁更新及時，暫未發(fā)現(xiàn)可利用的遠(yuǎn)程溢出漏洞，暫未發(fā)現(xiàn)安全風(fēng)險。未授權(quán)訪問服務(wù)器第三方軟件默認(rèn)配置會有匿名訪問或者空密碼訪問的權(quán)限，攻擊者利用該漏洞可直接入侵服務(wù)器。測試結(jié)論：服務(wù)器安全配置良好，暫未發(fā)現(xiàn)安全風(fēng)險?？诹畈聹y使用常見的密碼對服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程密碼猜解。包括系統(tǒng)密碼，WEB等系統(tǒng)應(yīng)用。測試結(jié)論：服務(wù)器安全配置良好，無弱口令，暫未發(fā)現(xiàn)安全風(fēng)險。跳板攻擊攻擊者控制同網(wǎng)段的一臺主機后向目標(biāo)主機進(jìn)行入侵。測試結(jié)論：C段服務(wù)器未發(fā)現(xiàn)可入侵的主機，暫未發(fā)現(xiàn)安全風(fēng)險。應(yīng)用層安全測試配置管理測試（含中風(fēng)險）基礎(chǔ)配置管理測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。應(yīng)用管理界面測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。后臺管理登錄口、cms管理口、HTTP方法測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。OPTIONDELETEPUTTRACESSL/TLS測試（低風(fēng)險）未使用SSL/TLS對傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)。應(yīng)用配置管理測試(中風(fēng)險)Robot.txt web-inf【問題鏈接】【危險等級】中【問題說明】從robots文件里可以獲取到網(wǎng)站一些目錄信息并且可獲知網(wǎng)站采用DESTOONB2B網(wǎng)站管理系統(tǒng)進(jìn)行二次開發(fā)，攻擊者可能會采用該管理系統(tǒng)通用漏洞對網(wǎng)站發(fā)起攻擊?！拘迯?fù)建議】刪除robots.txt文件。過期、備份頁面測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。數(shù)據(jù)驗證測試（含中風(fēng)險）跨站腳本測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。HTTPSPLITTING測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。頭拆分SQL注入測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。命令執(zhí)行測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。具有命令執(zhí)行的功能的ImagemagickStruts2Java反序列化漏洞代碼注入測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。XML注入測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。XXEXMLexternalentity外部實體使用XPATH注入測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。URL跳轉(zhuǎn)測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。文件上傳測試（中風(fēng)險）【問題鏈接】【危險等級】中【問題說明】網(wǎng)站存在上傳測試頁面暴露，可能存在上傳非法腳本到服務(wù)端獲取webshell的風(fēng)險?！拘迯?fù)建議】刪除上傳測試頁面。程序報錯測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。金額篡改測試經(jīng)過測試，此項未發(fā)現(xiàn)問題。認(rèn)證測試（含中風(fēng)險）認(rèn)證模式繞過